Collecter les journaux d'audit 1Password

Ce document explique comment ingérer les journaux d'audit 1Password dans Google Security Operations à l'aide de Bindplane. L'analyseur transforme les données de journaux brutes au format JSON en un format structuré conforme au modèle UDM (Unified Data Model) de Google SecOps. Il se concentre spécifiquement sur la normalisation et l'enrichissement des événements liés aux tentatives de connexion des utilisateurs, en extrayant des informations sur l'utilisateur, sa position, les informations sur le client et le résultat de la tentative.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

• Instance Google SecOps
• Hôte Windows 2016 ou version ultérieure, ou hôte Linux avec systemd
• Si vous exécutez le programme derrière un proxy, les ports du pare-feu sont ouverts.
• Accès privilégié à 1Password

Obtenir le fichier d'authentification d'ingestion Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres du SIEM > Agents de collecte.
3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

1. Connectez-vous à la console Google SecOps.
2. Accédez à Paramètres SIEM> Profil.
3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installation de fenêtres

1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

2. Exécutez la commande suivante :

   msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
   

Installation de Linux

1. Ouvrez un terminal avec les droits root ou sudo.

2. Exécutez la commande suivante :

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Ressources d'installation supplémentaires

Pour plus d'options d'installation, consultez le guide d'installation.

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

1. Accédez au fichier de configuration :
   • Recherchez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
   • Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

2. Modifiez le fichier config.yaml comme suit :

   receivers:
       udplog:
           # Replace the port and IP address as required
           listen_address: "0.0.0.0:514"
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'ONEPASSWORD_AUDIT_EVENTS'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                   - udplog
               exporters:
                   - chronicle/chronicle_w_labels
   

3. Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.

4. Remplacez <customer_id> par le numéro client réel.

5. Mettez à jour /path/to/ingestion-authentication-file.json en indiquant le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

• Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

  sudo systemctl restart bindplane-agent
  

• Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

  net stop BindPlaneAgent && net start BindPlaneAgent
  

Obtenir le jeton d'API 1Password

1. Connectez-vous à l'interface utilisateur Web 1Password.
2. Accédez à Intégrations.
3. Cliquez sur Annuaire en haut de la page.
4. Saisissez un nom pour le jeton et définissez sa date d'expiration.
5. Dans Rapports sur les événements, cliquez sur Autre.
6. Sélectionnez Événements d'audit dans Types d'événements.
7. Cliquez sur Issue Token (Émettre un jeton) pour générer la clé du jeton d'accès.
8. Cliquez sur Enregistrer dans 1Password, puis sélectionnez le coffre-fort dans lequel enregistrer votre jeton.
9. Cliquez sur Afficher les détails de l'intégration pour afficher le jeton.

Configurez un hôte Linux pour exécuter la commande suivante

• Exécutez la commande suivante :

    import datetime
    import requests
    import os 
    import socket 
    import json
  
  # For more information, check out the support page: https://support.1password.com/events-reporting
  
    api_token = os.environ.get('EVENTS_API_TOKEN')
    url = "https://events.1password.com"
    if not api_token:
        print("Please set the EVENTS_API_TOKEN environment variable.")
        exit(1)
    start_time = datetime.datetime.now() - datetime.timedelta(hours=24)
  
  # Define the bindplane agent details
  
    syslog_server_ip = <ip-address> # Replace with your Bindplane IP
    syslog_server_port = <port-number> # Replace with your Bindplane port
    headers = {
        "Content-Type": "application/json",
        "Authorization": f"Bearer {api_token}"
    payload = {
        "limit": 20,
        "start_time": start_time.astimezone().replace(microsecond=0).isoformat()
  
  # Alternatively, use the cursor returned from previous responses to get any new events
    # payload = { "cursor": cursor }
    try:
        r = requests.post(f"{url}/api/v1/signinattempts", headers=headers, json=payload)
        r.raise_for_status()  # Raise an exception if the request fails
        if r.status_code == requests.codes.ok:
  
  # Send the response to the bindplane server
            syslog_message = f"{json.dumps(r.json())}"
            with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as sock:
                sock.connect((syslog_server_ip, syslog_server_port))
                sock.sendall(f"{syslog_message}\n".encode())
        else:
            print(f"Error getting sign-in attempts: status code {r.status_code}")
    except requests.exceptions.RequestException as e:
        print(f"Request error: {e}")
    except Exception as e:
        print(f"Error during syslog logging: {e}")
  

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.